Più della metà delle PMI svizzere si ritiene ben preparata ad affrontare un attacco informatico, ma solo una minoranza ha definito un piano di emergenza e assegnato responsabilità chiare in materia di cybersicurezza. È quanto emerge da un sondaggio che fa riflettere: le PMI, infatti, rappresentano bersagli particolarmente appetibili per i cybercriminali.
È un paradosso: una piccola maggioranza di PMI dichiara di essere ben preparata ad affrontare un attacco informatico. Eppure, il Cyber Study 2024 (in tedesco) evidenza carenze di misure organizzative fondamentali, come piani di emergenza, strategie di sicurezza e corsi di formazione sulla Security Awareness per i collaboratori. Inoltre, nel 44% delle PMI intervistate, nessuno è responsabile della sicurezza informatica, nonostante la gestione dei rischi aziendali sia, per legge, una questione di competenza della dirigenza.
Allo stesso tempo, il numero di attacchi informatici è in costante aumento. L’Ufficio federale della cybersicurezza (UFCS) segnala che nel 2024 il numero di siti di phishing identificati è raddoppiato rispetto all’anno precedente, arrivando a circa 20 000. Secondo il Cyber Study, lo scorso anno il 4% delle PMI intervistate è stato vittima di un grave attacco informatico, una cifra che corrisponde a circa 24 000 aziende, senza contare i casi non dichiarati. Inoltre, tre quarti delle vittime hanno riportato ingenti perdite finanziarie.
Le PMI non sono un bersaglio? Sbagliato!
Spesso, le piccole e medie imprese tendono a credere, erroneamente, di non essere bersagli interessanti per i cybercriminali. Tuttavia, un’analisi delle tattiche degli hacker dimostra il contrario. Molti attacchi informatici hanno un raggio d’azione molto ampio: i cybercriminali scandagliano sistematicamente la rete alla ricerca di falle nella sicurezza e inviano e-mail di phishing a tutti gli indirizzi disponibili, senza nemmeno conoscere l’identità dei destinatari. Il loro approccio è opportunistico: colpiscono non appena si presenta l’opportunità.
E a volte l’obiettivo degli hacker non è nemmeno colpire direttamente l’azienda, ma sfruttarne il sito web per i propri scopi. Ne sono un esempio le e-mail di phishing che mirano a ottenere le credenziali di accesso al web hosting. I siti aziendali poco protetti, ma apparentemente affidabili, sono infatti perfetti per ospitare pagine di phishing, aumentando la credibilità di queste truffe. Si tratta di landing page contenute in link di phishing. Anche il UFCS mette in guardia contro questo tipo di abuso. Di conseguenza, il rischio di cadere nel mirino dei criminali informatici non dipende direttamente dalle dimensioni dell’azienda.
Inoltre, colpire molte piccole aziende, spesso poco protette, può risultare complessivamente tanto redditizio quanto attaccare una grande azienda. Dati sensibili, come quelli delle carte di credito o dei pazienti, possono infatti essere facilmente monetizzati sul dark web.
I cybercriminali possono anche usare ransomware per criptare i dati delle PMI e restituirli solo dietro pagamento di un riscatto. Spesso riescono nel loro intento, perché per molte aziende i dati rappresentano il bene più prezioso, anche se, di per sé, non hanno alcun valore di rivendita. Inoltre, i cybercriminali usano le PMI e i loro dati anche come porta d’ingresso per hackerare i sistemi IT delle grandi aziende.
Falle nella sicurezza e lacune nelle PMI
Le PMI sono una facile preda per i cybercriminali, perché spesso non proteggono adeguatamente i dati aziendali più sensibili o non hanno mai testato il processo di ripristino. Infatti, circa il 90 percento delle PMI ha introdotto misure di protezione di base, come backup e aggiornamenti regolari. Tuttavia, solo due terzi di esse hanno verificato se il ripristino funziona davvero, un passaggio fondamentale di qualsiasi piano di backup.
Questa verifica è cruciale, poiché molte PMI si accorgono della mancanza di parti del backup soltanto quando cercano di ripristinare i dati in caso di emergenza. In generale, la prevenzione contro attacchi informatici riusciti, o altri scenari che potrebbero causare interruzioni dell’attività, sembra essere stata adottata solo da poche PMI. Solo un terzo dispone di un piano di emergenza e, solo un quarto ha una strategia di sicurezza che include (anche) misure di cybersicurezza.
Le misure organizzative sono il punto debole
Di conseguenza, pochissime PMI sono consapevoli delle proprie vulnerabilità in ambito di sicurezza. Secondo lo studio, solo un quinto delle PMI intervistate ha mai effettuato un audit sulla sicurezza informatica, cioè una verifica della propria infrastruttura. Questi audit, infatti, permettono di individuare le falle nella sicurezza e i rischi, pertanto dovrebbero essere eseguiti con cadenza regolare.
In particolare, i cambiamenti nel panorama IT, come il passaggio ad ambienti cloud, creano nuove condizioni e metodi di lavoro, che possono dare origine a nuove vulnerabilità, soprattutto con l’aumento dell’uso dell’home office. Un esempio lampante: se un collaboratore utilizza il proprio notebook aziendale per gestire la posta elettronica privata nel tempo libero a casa, potrebbe sembrare un utilizzo legittimo. Tuttavia, basta che clicchi su un link contenuto in un’e-mail di phishing per compromettere la sicurezza del computer aziendale. Per questo, la sensibilizzazione del personale tramite training di Security Awareness diventa ancora più importante. Eppure, secondo lo studio, solo un terzo delle PMI organizza corsi di formazione con cadenza regolare, più o meno lo stesso numero di persone che utilizza un password manager.
Protezione di base a 360 gradi contro i rischi informatici
Swisscom vi assiste con un know-how completo in materia di cybersicurezza nell’identificazione di falle nella sicurezza, con raccomandazioni per misure di sicurezza e con soluzioni tecniche adeguate.
➔ Rimanga informato sulla cybersecurity con la nostra newsletter
